De Drag and Drop Multiple File Upload voor Contact Form 7 plugin voor WordPress is kwetsbaar voor Path Traversal wat leidt tot Arbitrary File Read in versies tot en met 1.3.9.6. Dit komt doordat de plugin client-aangeleverde mfile[] POST waarden gebruikt als de bron van waarheid voor de selectie van e-mailbijlagen zonder enige server-side upload provenance check, path canonicalization, of directory containment boundary enforcement uit te voeren. In dnd_wpcf7_posted_data(), wordt elke door de gebruiker ingediende bestandsnaam direct

Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om gevoelige bestanden van de server te downloaden, zoals configuratiebestanden, broncode of database dumps. Dit kan leiden tot datalekken, compromittering van de server en verdere toegang tot het WordPress-systeem. De kwetsbaarheid ontstaat doordat de plugin gebruikersinvoer (mfile[] POST-waarden) gebruikt om bestandsnamen te bepalen zonder adequate validatie of sanitatie. De bestandsnaam wordt direct aan de upload URL toegevoegd, waardoor een aanvaller paden buiten de beoogde upload directory kan manipuleren.

1. Gereserveerd2026-04-06
2. Gepubliceerd2026-04-17
3. Gewijzigd2026-04-22
4. EPSS bijgewerkt2026-04-25

De primaire mitigatie is het updaten van de 'Drag and Drop Multiple File Upload for Contact Form 7' plugin naar versie 1.3.9.7 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van de plugin. Als dit niet mogelijk is, implementeer dan een Web Application Firewall (WAF) om verzoeken met potentieel kwaadaardige paden te blokkeren. Zoek naar patronen zoals ../ in de POST-data van de upload. Controleer de WordPress server logs op verdachte bestandsaanvragen.

Actieve installaties

60KBekend

Plugin-beoordeling